2

この記事に示されているように、DB2 は SQL インジェクションに対して脆弱である可能性があります。

* Potential SQL injection if X, Y or Z host variables come from untrusted input 
STRING "INSERT INTO TBL (a,b,c) VALUES (" X "," Y "," Z ")" INTO MY-SQL.
EXEC SQL PREPARE STMT FROM :MY-SQL END-EXEC.
EXEC SQL EXECUTE STMT END-EXEC.

私の質問は、ネイティブ IMS コマンドがこの種の (または同様の) インジェクションに対して脆弱であるかどうかです。たとえば、ISRT DLI コマンドで悪意のある入力を推定することによって。

4

4 に答える 4

1

はい、SQL クエリ文字列のランタイム解析をサポートするすべての SQL データベースは、SQL インジェクションの影響を受けやすくなっています。

SQL インジェクションはデータベース テクノロジの欠陥ではなく、SQL クエリ文字列を作成するクライアント コードの欠陥です。

于 2020-06-11T22:20:14.103 に答える